Το Locky Ransomware είναι θανατηφόρο! Εδώ είναι όλα όσα πρέπει να ξέρετε για αυτόν τον ιό.

Το Locky είναι το όνομα ενός Ransomware που εξελίσσεται αργά χάρη στην συνεχή αναβάθμιση του αλγορίθμου από τους συντάκτες της. Το Locky, όπως υποδεικνύεται από το όνομά του, μετονομάζει όλα τα σημαντικά αρχεία του μολυσμένου υπολογιστή, δίνοντάς του μια επέκταση.locky και απαιτεί λύτρα για τα κλειδιά αποκρυπτογράφησης.

Το Ransomware με ανησυχητικό ρυθμό το 2016. Χρησιμοποιεί Email & Social Engineering για να εισάγει τα συστήματα υπολογιστών σας. Τα περισσότερα μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα έγγραφα συνημμένα εμφάνισαν το δημοφιλές στέλεχος ραντάμ Locky. Μεταξύ των δισεκατομμυρίων μηνυμάτων που χρησιμοποίησαν συνημμένα αρχεία με κακόβουλα έγγραφα, περίπου το 97% χαρακτήρισε το Locky ransomware, μια ανησυχητική αύξηση κατά 64% από το πρώτο τρίμηνο του 2016.

Το

Locky ransomware εντοπίστηκε για πρώτη φορά Φεβρουάριο του 2016 και σύμφωνα με πληροφορίες στέλνονταν σε μισό εκατομμύριο χρήστες. Το Locky ήρθε στο προσκήνιο όταν, τον Φεβρουάριο του τρέχοντος έτους, το Πρεσβυτεριανό Ιατρικό Κέντρο του Χόλιγουντ κατέβαλε 17.000 δολάρια Bitcoin για το κλειδί αποκρυπτογράφησης για δεδομένα ασθενών. Τα στοιχεία του νοσοκομείου Locky μολυσμένα με ένα συνημμένο ηλεκτρονικού ταχυδρομείου που μεταμφιέζεται ως τιμολόγιο του Microsoft Word Από τον Φεβρουάριο, ο Locky συνδέει τις επεκτάσεις του σε μια προσπάθεια να εξαπατήσουν τα θύματα ότι έχουν μολυνθεί από ένα διαφορετικό Ransomware. Το Locky ξεκίνησε αρχικά να μετονομάζει τα κρυπτογραφημένα αρχεία σε

.locky και από την εποχή που έφτασε το καλοκαίρι εξελίχθηκε στην επέκταση .zepto , η οποία έχει χρησιμοποιηθεί σε πολλές καμπάνιες από τότε , Το Locky κρυπτογραφεί τώρα αρχεία με επέκταση

.ODIN , προσπαθώντας να συγχύσει τους χρήστες ότι είναι στην πραγματικότητα το ραντάρ Odin Locky Ransomware

Το ransomware της Locky εξαπλώνεται κυρίως μέσω καμπάνιας ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας που εκτελείται από τους επιτιθέμενους. Αυτά τα μηνύματα ανεπιθύμητης αλληλογραφίας περιέχουν ως επί το πλείστον αρχεία.doc ως συνημμένα

που περιέχουν κωδικοποιημένο κείμενο που εμφανίζονται ως μακροεντολές. Ένα τυπικό μήνυμα ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται στη διανομή Locky ransomware μπορεί να είναι τιμολογίου που προσελκύει την προσοχή του χρήστη, Το θέμα ηλεκτρονικού ταχυδρομείου θα μπορούσε να είναι -

"ATTN: Τιμολόγιο P-12345678"

, προσβληθέντα συνημμένα - " invoice_P-12345678.doc): " Και σώμα ηλεκτρονικού ταχυδρομείου -" Αγαπητέ κάποιον, βλ. Το συνημμένο τιμολόγιο (Έγγραφο Microsoft Word) και αποστολή πληρωμής σύμφωνα με τους όρους που αναφέρονται στο κάτω μέρος του τιμολογίου. Ενημερώστε μας αν έχετε οποιεσδήποτε ερωτήσεις. Εκτιμούμε ιδιαίτερα την επιχείρησή σας! " Μόλις ο χρήστης ενεργοποιήσει τις ρυθμίσεις μακροεντολών στο πρόγραμμα Word, ένα εκτελέσιμο αρχείο το οποίο είναι στην πραγματικότητα το ransomware κατεβάζεται στον υπολογιστή. Στη συνέχεια, διάφορα αρχεία στον υπολογιστή του θύματος είναι κρυπτογραφημένα από το ransomware δίνοντάς τους μοναδικά ονόματα συνδυασμού 16 χαρακτήρων με

.shit

, .thor , .locky.zepto ή .odin επεκτάσεις αρχείων. Όλα τα αρχεία κρυπτογραφούνται χρησιμοποιώντας αλγορίθμους RSA-2048 και AES-1024 και απαιτούν ένα ιδιωτικό κλειδί αποθηκευμένο στους απομακρυσμένους διακομιστές που ελέγχονται από τους εγκληματίες του κυβερνοχώρου για αποκρυπτογράφηση. είναι κρυπτογραφημένα, το Locky δημιουργεί ένα πρόσθετο αρχείο .txt και

_HELP_instructions.html σε κάθε φάκελο που περιέχει τα κρυπτογραφημένα αρχεία. Αυτό το αρχείο κειμένου περιέχει ένα μήνυμα (όπως φαίνεται παρακάτω) που ενημερώνει τους χρήστες για την κρυπτογράφηση. Αναφέρει επίσης ότι τα αρχεία μπορούν να αποκρυπτογραφηθούν μόνο χρησιμοποιώντας αποκρυπτογράφο που αναπτύχθηκε από εγκληματίες του κυβερνοχώρου και κοστίζει.5 BitCoin. Ως εκ τούτου, για να πάρετε τα αρχεία πίσω, το θύμα καλείται να εγκαταστήσει το πρόγραμμα περιήγησης Tor και να ακολουθήσει έναν σύνδεσμο που παρέχεται στα αρχεία κειμένου / ταπετσαρία. Ο ιστότοπος περιέχει οδηγίες για την πραγματοποίηση της πληρωμής. Δεν υπάρχει εγγύηση ότι ακόμα και μετά την καταβολή των αρχείων θύματος πληρωμής θα αποκρυπτογραφηθεί. Αλλά συνήθως για να προστατεύσει τη «φήμη» τους, οι συγγραφείς ransomware συνήθως δέχονται το κομμάτι τους από το παζάρι. Το Locky Ransomware αλλάζει από.wsf στην επέκταση.LNK

Δημοσίευση της εξέλιξής του φέτος τον Φεβρουάριο. Οι λοιμώξεις λοίμωξης λοίμωξης Locky μειώθηκαν σταδιακά με λιγότερες ανιχνεύσεις

Nemucod

, τις οποίες χρησιμοποιεί η Locky για να μολύνει υπολογιστές. (Το Nemucod είναι ένα αρχείο.wsf που περιέχεται σε συνημμένα αρχεία.zip σε ανεπιθύμητο ηλεκτρονικό ταχυδρομείο). Ωστόσο, όπως αναφέρει η Microsoft, οι συγγραφείς της Locky έχουν αλλάξει το συνημμένο από αρχεία

.wsf σε αρχεία συντομεύσεων (επέκταση LNK) που περιέχουν εντολές PowerShell για τη λήψη και εκτέλεση του Locky. παράδειγμα του παρακάτω μηνύματος ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας, δείχνει ότι γίνεται για να προσελκύσει άμεση προσοχή από τους χρήστες. Στέλνεται με μεγάλη σημασία και με τυχαίους χαρακτήρες στη γραμμή θέματος. Το σώμα του μηνύματος ηλεκτρονικού ταχυδρομείου είναι άδειο. Το μήνυμα ηλεκτρονικού ταχυδρομείου με ανεπιθύμητη αλληλογραφία συνήθως ονομάζεται όταν ο Bill έρχεται με ένα συνημμένο.zip, το οποίο περιέχει τα αρχεία.LNK. Κατά το άνοιγμα του συνημμένου.zip, οι χρήστες ενεργοποιούν την αλυσίδα μόλυνσης. Αυτή η απειλή εντοπίζεται ως TrojanDownloader: PowerShell / Ploprolo.A . Όταν εκτελείται επιτυχώς η δέσμη ενεργειών PowerShell, μεταφορτώνει και εκτελεί το Locky σε έναν προσωρινό φάκελο που συμπληρώνει την αλυσίδα λοίμωξης.

Τύποι αρχείων που στοχεύονται από το Locky Ransomware

Παρακάτω βρίσκονται οι τύποι αρχείων που στοχεύουν τα ransomware Locky . ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,. kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,. acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.q αγελάδα,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,. cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.,.dbx,.contact,.mid,.wma,.flv,.dbx,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.arc,. PAQ,.tar.bz2,.tbk,.bak,.,.tf,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,. ms11 (αντίγραφο ασφαλείας),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,. xlt,.xlm,.xlc,.dif,.stc,.sxc,.ot,.ods,.hwp,.dotm,.dotx,.docm,.docx,.dot,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.doc,.pem,.csr,.crt,.ke. αποφυγή επίθεσης Locky Ransomware

Το Locky είναι ένας επικίνδυνος ιός που παρουσιάζει σοβαρή απειλή για τον υπολογιστή σας. Συνιστάται να ακολουθείτε αυτές τις οδηγίες για να αποφύγετε τα ransomware και να αποφύγετε να μολυνθείτε.

Να έχετε πάντα ένα λογισμικό κατά του κακόβουλου λογισμικού και ένα λογισμικό κατά των ransomware που να προστατεύει τον υπολογιστή σας και να το ενημερώνει τακτικά.

Ενημερώστε το λειτουργικό σύστημα των Windows και το υπόλοιπο του λογισμικού σας ενημερωμένο για να μετριάσετε πιθανές εκμεταλλεύσεις λογισμικού.

Δημιουργήστε αντίγραφα ασφαλείας των σημαντικών αρχείων σας τακτικά. Είναι μια καλή επιλογή να τα αποθηκεύσετε εκτός σύνδεσης σε σχέση με ένα cloud storage, καθώς ο ιός μπορεί να φτάσει και εκεί.

Απενεργοποιήστε τη φόρτωση των μακροεντολών στα προγράμματα του Office. Το άνοιγμα ενός μολυσμένου αρχείου εγγράφου του Word μπορεί να αποδειχθεί επικίνδυνο!

1. Μην ανοίγετε τυφλά μηνύματα στα τμήματα email "Spam" ή "Junk". Αυτό θα μπορούσε να σας εξαπατήσει να ανοίξετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει το κακόβουλο λογισμικό. Σκεφτείτε πριν κάνετε κλικ σε συνδέσμους ιστού σε ιστοσελίδες ή ηλεκτρονικά ταχυδρομεία ή κατεβάζετε συνημμένα μηνυμάτων ηλεκτρονικού ταχυδρομείου από αποστολείς που δεν γνωρίζετε. Μην κάνετε κλικ ή ανοίγετε τέτοια συνημμένα:
2. Αρχεία με επέκταση.LNK
3. Αρχεία με επέκταση.wsf
4. Αρχεία με επέκταση διπλής κουκίδας (για παράδειγμα, προφίλ-p29d … wsf): Τι να κάνετε μετά από μια επίθεση Ransomware στον υπολογιστή σας των Windows;
5. Πώς να αποκρυπτογραφήσετε το Locky Ransomware
1. Από τώρα και μέχρι τώρα δεν υπάρχουν διαθέσιμα αποκρυπτογραφητήρια για το ραντάμ του Locky. Ωστόσο, ένας Decryptor από το Emsisoft μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση αρχείων κρυπτογραφημένων από
2. AutoLocky
3. , ένα άλλο ransomware που επίσης μετονομάζει αρχεία στην επέκταση.locky. Το AutoLocky χρησιμοποιεί τη γλώσσα προγραμματισμού AutoI και προσπαθεί να μιμηθεί το περίπλοκο και εξελιγμένο ransomware Locky. Μπορείτε να δείτε την πλήρη λίστα των διαθέσιμων εργαλείων αποκρυπτογράφησης ransomware εδώ.

Πηγές & Credits : Microsoft | BleepingComputer | PCRisk